Microsoft oferă o soluție pentru autentificarea SMB care nu reușește în Windows 11

Tehnica De CalculJul 20, 2023

Semnarea SMB a fost activată în mod implicit în Windows 11 edițiile Insider Enterprise recent, provocând unele eșecuri. Microsoft are acum o soluție.

Acum mai bine de un an, Microsoft a anunțat că o va face nu se mai livrează Windows 11 Home cu Server Message Block versiunea 1 (SMB1), deoarece este un protocol de securitate de rețea foarte vechi care a fost considerat nesigur de ceva timp și a fost succedat de iterații mai noi. Acestea fiind spuse, SMB este încă prezent în Windows 11 și, de fapt, compania a făcut-o SMB semnează comportamentul implicit în versiunile Windows Insider Enterprise mai devreme luna asta. Cu toate acestea, Microsoft a aflat că autentificarea SMB eșuează în anumite scenarii și, ca atare, a oferit acum o soluție pentru această problemă.

În esență, autentificarea SMB în versiunile Windows 11 Insider nu mai funcționează pentru autentificarea invitaților, deoarece semnarea SMB eșuează atunci când utilizați autentificarea pentru invitați. Cheia folosită pentru a genera o semnătură pentru un mesaj care este trimis este derivată din parola utilizatorului. Când activați autentificarea pentru oaspeți, nu există nicio parolă, ceea ce înseamnă că cele două concepte se exclud reciproc, nu le puteți avea pe amândouă. Deoarece nu există nicio parolă de utilizator disponibilă pentru a crea o semnătură, Windows în prezent eșuează conexiunea SMB pentru a client invitat, deoarece semnarea SMB - care necesită o parolă - este acum activată implicit în anumite Windows Insider construieste.

Este important să rețineți că aceasta nu este tocmai o schimbare radicală a comportamentului. Microsoft a încetat să mai permită conectările pentru invitați în mod implicit în Windows 2000, a oprit conturile pentru invitați încorporate de la conectarea de la distanță la Windows și chiar accesul pentru oaspeți SMB2 și SMB3 dezactivat începând cu versiunea Windows 10 1709. Scopul este de a opri actorii rău intenționați să execute de la distanță cod rău intenționat pe serverul dvs. fără a necesita acreditări.

Ca atare, dacă utilizați autentificarea pentru oaspeți pe Windows, veți primi mesaje de eroare despre calea rețelei nu a fost găsit (eroare 0x80070035) sau un mesaj despre organizația dvs. care blochează un invitat nerestricționat și neautentificat acces. În timp ce puteți activa accesul ghici în SMB2+ urmând Ghidul Microsoft aici, nu va fi de ajutor în cele mai recente versiuni Windows 11 Insider - și probabil edițiile viitoare ale Windows odată ce această modificare va fi implementată în general - și conexiunea va eșua.

Remedierea recomandată de Microsoft este să opriți imediat accesarea dispozitivelor dvs. terță parte folosind acreditările pentru oaspeți. Firma a avertizat că continuarea acestui comportament vă pune datele în pericol, deoarece oricine poate utiliza această tehnică pentru a vă accesa datele fără a lăsa o urmă de audit. Acesta a subliniat că producătorii de dispozitive permit de obicei accesul pentru oaspeți în mod implicit, deoarece nu doresc să aibă de-a face cu clienții în ceea ce privește complexitatea instalării unei forme mai sigure de acces. Firma Redmond v-a recomandat să consultați documentația furnizorului pentru a activa autentificarea bazată pe parolă și, dacă aceasta nu este acceptată, ar trebui să eliminați treptat autentificarea asociată produs complet.

Cu toate acestea, dacă dezactivarea accesului pentru oaspeți SMB nu este posibilă pentru organizația dvs., singura opțiune este să o faceți dezactivați semnarea SMB, pe care Microsoft nu o recomandă, deoarece afectează negativ securitatea companiei dvs postură. Indiferent, Microsoft a subliniat trei moduri prin care puteți dezactiva semnarea SMB, detaliate mai jos:

  • Grafic (politica de grup local pe un singur dispozitiv)
    1. Deschide Editor local de politici de grup (gpedit.msc) pe dispozitivul dvs. Windows.
    2. În arborele consolei, selectați Configurare computer > Setări Windows > Setări de securitate > Politici locale > Opțiuni de securitate.
    3. Dublu click Client de rețea Microsoft: semnează digital comunicațiile (întotdeauna).
    4. Selectați Dezactivat > Bine.
  • Linie de comandă (PowerShell pe un singur dispozitiv)
    1. Deschideți o consolă PowerShell ridicată de administrator.
    2. Alerga 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Politica de grup bazată pe domenii (pentru flotele gestionate de IT)
    1. Localizați politica de securitate care aplică această setare pe dispozitivele dvs. Windows (puteți folosi GPRESULT /H pe un client pentru a genera un set rezultat de raport de politică pentru a arăta care politică de grup necesită semnarea SMB.
    2. În GPMC.MSC, modificați Configurare computer > Politici > Setări Windows > Setări de securitate > Politici locale > Opțiuni de securitate.
    3. A stabilit Client de rețea Microsoft: semnează digital comunicațiile (întotdeauna) la Dezactivat.
    4. Aplicați politica actualizată dispozitivelor Windows care au nevoie de acces invitat prin SMB.

În ceea ce privește următorii pași, Microsoft a remarcat că va lucra la îmbunătățirea mesajelor de eroare și pentru a avea o descriere mai clară în politica de grup în viitoarele versiuni Windows Insider. Documentația asociată Microsoft disponibilă online va fi, de asemenea, actualizată pentru a explica mai bine această schimbare și soluțiile corespunzătoare. Cu toate acestea, recomandarea generală a companiei este încă de a dezactiva accesul oaspeților de pe dispozitivele terțe.